弁護士が語る！経営者が知っておきたい法律の話（第108回）法律面から見たサプライチェーンのセキュリティ（後編）

　上記の対応を踏まえ、インシデント発生時における主な対応をまとめると、以下の①から⑦になります。こうしたインシデントに関わる法的な問題については、知見がある弁護士にも相談をしながら進める必要があるでしょう。

①インシデントの調査・復旧、再発防止策の検討・実施
　漏えい等インシデントの原因を調査し、復旧などの対処をします。社内における情報共有も重要です。さらに、これらと関連して再発防止策を検討し、実施していきます。インシデント発生時は、直ちにセキュリティ専門の調査会社と連携して対応する必要があり、数百万円以上の費用が発生する場合が多いでしょう。

②取引先への報告・対応
　サプライチェーン攻撃は取引先にもマルウエア感染が及ぶ可能性があり、取引先への報告が必要です。ランサムウエアに感染した場合には復旧に時間が掛かる可能性もあり、取引先に対応状況を報告する必要があります。納期に遅れると債務不履行となり、さらに取引先への連絡が遅く、ウイルス感染の二次被害が発生した場合には、そのこと自体による責任が発生するケースもあります。特に、委託を受けて情報を取り扱っている企業は、直ちに委託元に報告する必要があります。

③被害者への対応
　状況に応じて、速やかに被害者に通知をする必要もあります。特に個人情報の漏えい等の場合には、個人情報保護法により本人への通知が義務となっています（個人情報保護法第26条2項）。対応やタイミングは、二次被害を防止する観点などから判断します。被害者が不特定または多数である場合には、専用の相談窓口を設ける企業が多くなっています。

④プレスリリース（情報公開）
　上場企業ではなくとも、取引先、被害者、マスコミなどに正確な情報を提供する目的で、適切なタイミングでプレスリリースなどを出して、情報を公開することが求められます。

⑤個人情報保護委員会、監督官庁への漏えい等の報告
　サイバー攻撃が原因で個人データの漏えい等（漏えい、滅失、毀損）が発生した場合、「不正の目的をもって行われたおそれがある個人データの漏えい等」に当たるとされており、1件でも個人データ（従業員や取引先の担当者の個人データを含む）の漏えい等が発生し、または発生したおそれがある時点で、個人情報保護委員会への報告が必要です（個人情報保護法第26条1項）。

　さらに、サイバー攻撃の事案については、C&Cサーバーが使用しているものと知られているIPアドレス・FQDNへの通信が確認された場合など一定の場合に、「漏えい」が発生した恐れがある事態に該当し得るとされています。ランサムウエアに感染した場合は「毀損」に当たり、漏えい等したことになります。

　企業のいずれかの部署が知った時点からおおむね3日から5日以内に、その時点において報告事項のうち把握している内容を報告し（速報）、さらに、当該事態を知った時点から30日以内（サイバーインシデントの場合にあっては、60日以内）に報告事故の全ての事項を報告する必要があります（確報）。

　特定の情報が漏えいしたり、サイバーインシデントが発生したりした場合などは、個人情報保護委員会への報告とは別に、監督官庁への報告（例：厚生労働省、総務省）が必要なケースもありますから、注意してください。

⑥警察への連絡
　サイバー攻撃は犯罪になります。例えば、不正アクセスは不正アクセス罪に当たり、マルウエアの作成は不正指令電磁的記録に関する罪（刑法第168条の2、同条の3）に当たります。このため、サイバーインシデント発生時には警察に相談し、被害届等を提出することになります。

⑦損害賠償等に関する対応
　インシデント発生に関し、取引先、被害者、システム・保守の発注先などとの間で、損害賠償責任や債務不履行責任等に関する対応が必要になることが多いでしょう。

　大企業だけでなく中小企業も、サプライチェーンを意識した情報セキュリティ対策が必須になっています。最近は中小企業も、サプライチェーンの中に組み込まれているケースが非常に多くなっています。自社が原因となり、サプライチェーンに被害が生じれば、取引先を失うだけでなく、損害賠償が発生する可能性もあり、事業継続が困難になってしまいます。サプライチェーンに組み込まれている以上、取引面だけでなく、情報セキュリティ面においても、適切な報告・連絡・相談が重要です。また、近頃は情報セキュリティ面に関するサイバー保険も登場しています。万が一を考えた場合、こうした新しいサービスの活用も有益でしょう。